S účinnosťou od 1. februára 2022 vstúpil do platnosti nový Zákon č. 452/2021 Z. z. o elektronických komunikáciách, ktorý prináša významné zmeny v oblasti spracúvania cookies a priameho marketingu. Tento zákon transponuje smernicu Európskeho parlamentu a Rady (EÚ) 2018/1972 z 11. decembra 2018, ktorou sa ustanovuje Európsky kódex elektronických komunikácií, do právneho poriadku Slovenskej republiky. S ohľadom na potenciálne vysoké sankcie za porušenie (až do výšky 10 % z obratu), je dôležité sa s novými pravidlami oboznámiť a prispôsobiť im svoje postupy.
Čo sú cookies a prečo sú dôležité?
Hoci samotný nový zákon pojem "cookies" priamo nedefinuje, hovorí o ukladaní alebo získavaní prístupu k informáciám uloženým v koncovom zariadení užívateľa. Práve na získavanie takýchto informácií slúžia súbory cookies.
Cookies sú krátke textové súbory, ktoré webové stránky ukladajú do zariadenia návštevníka (počítača, mobilu a pod.). Týmto webstránkam umožňujú zapamätať si informácie o preferenciách používateľa, a teda o ňom. Vo väčšine prípadov ide o spracúvanie osobných údajov.
Typy cookies
Existuje viacero typov cookies, pričom ich dominantným účelom je prispôsobenie zobrazovanej reklamy a jej cielenie na konkrétnu osobu (marketingové a reklamné cookies). Analytické cookies zase dokážu rozpoznať opakovanú návštevu webstránky z toho istého prehliadača na rovnakom zariadení a sledovať aktivity návštevníkov webstránky pri jej prezeraní, čo má potenciál profilovať návštevníkov. Analýza správania návštevníkov webu prostredníctvom súborov cookies je prakticky súčasťou každej webstránky.
Právny rámec cookies pred a po 1.2.2022
Právny rámec upravujúci používanie cookies tvoria:
Prečítajte si tiež: Zlepšenie stravovania v školách na Slovensku
- Smernica ePrivacy - Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002.
- Zákon č. 351/2011 Z. z. o elektronických komunikáciách (účinný do 31.01.2022) (ďalej len ako „Starý ZEK“).
- Zákon č. 452/2021 Z. z. o elektronických komunikáciách (účinný od 01.02.2022) (ďalej len ako „Nový ZEK“).
- Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len ako „GDPR“).
Smernica ePrivacy
Podľa článku 5 ods. 3 Smernice ePrivacy, ukladanie informácií alebo získavanie prístupu k informáciám, ktoré už boli uložené, v koncovom zariadení účastníka alebo užívateľa je povolené len pod podmienkou, že dotknutý účastník alebo užívateľ dal na to vopred súhlas na základe jasných a komplexných informácií v súlade so smernicou 95/46/ES, okrem iného aj o účeloch spracovania. To nebráni nijakému technickému uloženiu ani prístupu výhradne na účely výkonu prenosu správy prostredníctvom elektronickej komunikačnej siete alebo ak je to nevyhnutne potrebné na to, aby poskytovateľ služieb informačnej spoločnosti, ktoré si účastník alebo užívateľ výslovne vyžiadal, mohol tieto služby poskytnúť.
Starý zákon o elektronických komunikáciách (do 31.01.2022)
Starý ZEK v § 55 ods. 5 uvádzal, že každý, kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení užívateľa, je na to oprávnený iba ak dotknutý užívateľ udelil súhlas na základe jasných a úplných informácií o účele ich spracovania; za súhlas na tento účel sa považuje aj použitie príslušného nastavenia webového prehliadača alebo iného počítačového programu. Toto ustanovenie však nebránilo technickému uloženiu údajov alebo prístupu k nim, ktorých jediným účelom je prenos alebo uľahčenie prenosu správy prostredníctvom siete, alebo ak je to bezpodmienečne potrebné pre poskytovateľa služieb informačnej spoločnosti na poskytovanie služby informačnej spoločnosti, ktorú výslovne požaduje užívateľ. V praxi to znamenalo, že pre prevádzkovateľa webstránky bolo dostačujúce oznámenie o spracúvaní cookies a následné označenie možnosti „Prijímam“ alebo „Rozumiem“ na tzv. cookie lište.
Nový zákon o elektronických komunikáciách (od 01.02.2022)
Nový ZEK v § 109 ods. 8 hovorí, že každý, kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení užívateľa, je na to oprávnený iba ak dotknutý užívateľ udelil preukázateľný súhlas. Povinnosť získania súhlasu sa nevzťahuje na orgán činný v trestnom konaní a iný orgán štátu. To nebráni technickému uloženiu údajov alebo prístupu k nim, ktorých jediným účelom je prenos alebo uľahčenie prenosu správy prostredníctvom siete, alebo ak je to bezpodmienečne potrebné pre poskytovateľa služieb informačnej spoločnosti na poskytovanie služby informačnej spoločnosti, ktorú výslovne požaduje užívateľ.
Kľúčová zmena: Nový zákon už neobsahuje možnosť udelenia súhlasu prostredníctvom nastavenia webového prehliadača. To znamená, že prevádzkovatelia webstránok musia získavať preukázateľný súhlas od používateľov.
Výnimky z povinnosti získavať súhlas
Súhlas nie je potrebný pre tzv. nevyhnutné cookies (funkčné alebo technické cookies), ktoré sú potrebné na zabezpečenie správneho technického fungovania webstránky. Zabezpečujú napríklad možnosť prihlásenia sa do svojho užívateľského konta (napr. v e-shope) či nastavenie jazykových preferencií stránky.
Prečítajte si tiež: Kto je v práve?
Praktické otázky a odpovede pre prevádzkovateľov webstránok
Aký právny základ sa vyžaduje pre spracúvanie informácií prostredníctvom cookies?
Vždy súhlas dotknutej osoby, teda návštevníka webstránky. Je prakticky vylúčené aplikovať ako právny základ tzv. oprávnený záujem prevádzkovateľa podľa článku 6 ods. 1 písm. f) GDPR. Inými slovami - aby bolo spracúvanie cookies zákonné, musí s tým vždy daná osoba súhlasiť (udeliť vopred súhlas).
Bude sa aj naďalej považovať za platný súhlas aj použitie príslušného nastavenia webového prehliadača?
Nie. Toto ustanovenie Starého ZEK sa v praxi javilo ako značne problematické a jeho súlad so smernicou ePrivacy a GDPR bol minimálne otázny.
Musí mať udelený súhlas náležitosti podľa GDPR?
Áno, musí. Hoci Starý ZEK ani Nový ZEK uvedenú podmienku explicitne neupravujú, vyplýva to z čl. 2 písm. f) smernice ePrivacy.
Aké sú náležitosti súhlasu podľa GDPR?
Vychádzajúc z usmernenia Európskeho výboru na ochranu osobných údajov (Usmernenie EDPB 5/2020 k súhlasu podľa GDPR), súhlas je:
- Slobodne daný: Dotknutá osoba má skutočnú možnosť voľby a kontroly. Ak má osoba pocit, že je k súhlasu nútená, alebo bude znášať negatívne dôsledky ak súhlas neposkytne, takýto súhlas nebude platný. Príkladom je tzv. cookie wall, kde bez súhlasu nie je možné pokračovať v prehliadaní webstránky.
- Konkrétny: Súhlas je konkrétny vtedy, keď je poskytnutý na konkrétny, jasne a zrozumiteľne vymedzený účel alebo účely. Ak je poskytovaný na viaceré účely, dotknutá osoba musí mať možnosť voľby vo vzťahu ku každému z nich.
- Informovaný: Návštevník webstránky musí byť oboznámený so všetkými účelmi spracúvania cookies (napr. marketing, funkčnosť, analýza) a vo vzťahu ku každému účelu musí mať možnosť voľby, či súhlasí alebo nie.
- Jednoznačný prejav vôle: Súhlas musí byť preukázateľný a jednoznačný.
Ako získať platný súhlas?
Pre získanie platného súhlasu sa odporúča používať tzv. cookie lištu, ktorá by mala obsahovať:
Prečítajte si tiež: Zákon o jedle v lietadlách
- Informácie o typoch cookies: Jasné a zrozumiteľné informácie o tom, aké typy cookies webstránka používa a na aké účely.
- Možnosť výberu: Možnosť udeliť súhlas len pre niektoré kategórie cookies a iné nie.
- Jednoznačné tlačidlá: Zrozumiteľné tlačidlá na vyjadrenie súhlasu (napr. "Súhlasím") a odmietnutie súhlasu (napr. "Odmietam"). Tlačidlo na vyjadrenie súhlasu nesmie byť predznačené.
- Odkaz na zásady ochrany osobných údajov (Privacy Policy): Odkaz na dokument, ktorý obsahuje podrobné informácie o spracúvaní osobných údajov.
Ako dlho je platnosť súhlasu s cookies časovo obmedzená?
Lehota, na ktorú je súhlas udelený by nemala prekročiť 13 mesiacov. V prípade neudelenia súhlasu s cookies by mal byť návštevník webu opätovne dotazovaný až po uplynutí 6 mesiacov.
Kto má právomoc kontrolovať povinnosti v súvislosti s cookies?
V súčasnosti to nie je úplne jednoznačné. Kontrolovať agendu ochrany osobných údajov má v kompetencii Úrad na ochranu osobných údajov. Kontrolovať reguláciu podľa ZEK má v kompetencii Úrad pre reguláciu elektronických komunikácií a poštových služieb. Pravidlá používania cookies spadajú do kontrolnej pôsobnosti obidvoch úradov.
Aké sú sankcie za porušenie?
Vysoké. Maximálna pokuta podľa GDPR je 4 % z obratu, podľa ZEK až 10 % z obratu za predchádzajúci kalendárny rok. Kým udeliť pokutu podľa ZEK možno do 4 rokov odo dňa porušenia povinnosti, podľa Zákona o ochrane osobných údajov do 5 rokov odo dňa porušenia povinnosti.